Mengumpulkan log firewall AMD Pensando DSS

Didukung di:

Google SecOps SIEM

Panduan ini menjelaskan cara menyerap log firewall AMD Pensando DSS ke Google Security Operations menggunakan Bindplane. Parser pertama-tama mengekstrak kolom dari pesan syslog menggunakan pola grok dan parsing CSV. Kemudian, kolom yang diekstrak dipetakan ke atribut UDM (Model Data Terpadu) yang sesuai, sehingga memperkaya data dengan konteks tambahan dan menstandardisasi formatnya untuk analisis keamanan.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

Instance Google SecOps
Host Windows 2016 atau yang lebih baru atau Linux dengan systemd
Jika beroperasi dari balik proxy, pastikan port firewall terbuka sesuai dengan persyaratan agen Bindplane
Akses istimewa ke antarmuka pengelolaan switch AMD Pensando Policy and Services Manager (PSM) atau Aruba CX 10000

Mendapatkan file autentikasi penyerapan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Agen Pengumpulan.
Download File Autentikasi Penyerapan. Simpan file dengan aman di sistem tempat BindPlane akan diinstal.

Mendapatkan ID pelanggan Google SecOps

Login ke konsol Google SecOps.
Buka Setelan SIEM > Profil.
Salin dan simpan ID Pelanggan dari bagian Detail Organisasi.

Menginstal agen Bindplane

Instal agen Bindplane di sistem operasi Windows atau Linux Anda sesuai dengan petunjuk berikut.

Penginstalan Windows

Buka Command Prompt atau PowerShell sebagai administrator.

Jalankan perintah berikut:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Penginstalan Linux

Buka terminal dengan hak istimewa root atau sudo.

Jalankan perintah berikut:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Referensi penginstalan tambahan

Untuk opsi penginstalan tambahan, lihat panduan penginstalan ini.

Mengonfigurasi agen BindPlane untuk menyerap Syslog dan mengirimkannya ke Google SecOps

Akses file konfigurasi:
1. Cari file config.yaml. Biasanya, file ini berada di direktori /etc/bindplane-agent/ di Linux atau di direktori penginstalan di Windows.
2. Buka file menggunakan editor teks (misalnya, nano, vi, atau Notepad).

Edit file config.yaml sebagai berikut:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'AMD_DSS_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Ganti port dan alamat IP sesuai kebutuhan di infrastruktur Anda.
Ganti <CUSTOMER_ID> dengan ID pelanggan yang sebenarnya.
Ganti /path/to/ingestion-authentication-file.json dengan jalur tempat file autentikasi disimpan di bagian Mendapatkan file autentikasi penyerapan Google SecOps.

Mulai ulang agen Bindplane untuk menerapkan perubahan

Untuk memulai ulang agen Bindplane di Linux, jalankan perintah berikut:
```
sudo systemctl restart bindplane-agent
```
Untuk memulai ulang agen Bindplane di Windows, Anda dapat menggunakan konsol Services atau memasukkan perintah berikut:
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

Mengonfigurasi penerusan Syslog di Firewall DSS AMD Pensando

Aruba CX 10000 menggunakan integrasi Distributed Services Switch (DSS) untuk memindahkan log firewall. Ikuti langkah-langkah berikut untuk meneruskan log ini ke Bindplane.

Mengonfigurasi melalui AOS-CX CLI di Aruba CX 10000

Hubungkan ke switch Aruba CX 10000 melalui SSH atau konsol.
Masuk ke mode konfigurasi:
```
configure terminal
```
Konfigurasi server syslog jarak jauh dengan UDP (ganti <BINDPLANE_IP> dengan alamat IP agen Bindplane Anda):
```
logging <BINDPLANE_IP> udp 514 severity info
```
- Atau untuk TCP:
```
logging <BINDPLANE_IP> tcp 514 severity info
```
- Atau untuk TLS (jika tersedia):
```
logging <BINDPLANE_IP> tls 6514 severity info
```
Catatan: Port default adalah UDP=514, TCP=1470, TLS=651. Tentukan port secara eksplisit agar sesuai dengan konfigurasi Bindplane Anda.
Menetapkan fasilitas syslog:
```
logging facility local0
```
Simpan konfigurasi:
```
write memory
exit
```

Tabel Pemetaan UDM

Kolom Log	Pemetaan UDM	Logika
tindakan	read_only_udm.metadata.product_event_type	Pemetaan langsung.
tindakan	read_only_udm.security_result.action	Jika tindakan adalah "tolak", tetapkan ke "BLOCK". Jika tindakan adalah "izinkan", tetapkan ke "ALLOW".
column10	read_only_udm.network.session_id	Pemetaan langsung.
column11	read_only_udm.additional.fields.value.string_value	Pemetaan langsung. Kunci dikodekan secara permanen sebagai "security_policy_id".
column12	read_only_udm.security_result.rule_id	Pemetaan langsung.
column13	read_only_udm.security_result.rule_name	Pemetaan langsung.
column14	read_only_udm.network.sent_packets	Pemetaan langsung.
column15	read_only_udm.network.sent_bytes	Pemetaan langsung.
column16	read_only_udm.network.received_packets	Pemetaan langsung.
column17	read_only_udm.network.received_bytes	Pemetaan langsung.
column18	read_only_udm.additional.fields.value.string_value	Pemetaan langsung. Kunci di-hardcode sebagai "vlan".
column19	read_only_udm.principal.asset.software.vendor_name	Pemetaan langsung.
column19	read_only_udm.principal.asset.software.name	Pemetaan langsung.
kolom2	read_only_udm.metadata.product_event_type	Pemetaan langsung.
column20	read_only_udm.principal.asset.software.version	Pemetaan langsung.
column21	read_only_udm.principal.asset_id	Menggabungkan "asset_id:" dengan nilai column21.
column22	read_only_udm.principal.asset.attribute.labels.value	Pemetaan langsung. Kunci dikodekan secara permanen sebagai "device_name".
column23	read_only_udm.principal.asset.attribute.labels.value	Pemetaan langsung. Kunci di-hardcode sebagai "unit_id".
column24	read_only_udm.metadata.product_version	Pemetaan langsung.
column25	read_only_udm.additional.fields.value.string_value	Pemetaan langsung. Kunci dikodekan secara permanen sebagai "policy_name".
column25	read_only_udm.security_result.rule_type	Pemetaan langsung.
column4	read_only_udm.principal.resource.product_object_id	Pemetaan langsung.
column5	read_only_udm.principal.ip	Pemetaan langsung.
column6	read_only_udm.principal.port	Pemetaan langsung.
column7	read_only_udm.target.ip	Pemetaan langsung.
column8	read_only_udm.target.port	Pemetaan langsung.
column9	read_only_udm.network.ip_protocol	Memetakan nomor protokol numerik ke nama yang sesuai (misalnya, 6 ke TCP, 17 ke UDP).
penurunan	read_only_udm.target.ip	Pemetaan langsung.
dport	read_only_udm.target.port	Pemetaan langsung.
dvc	read_only_udm.intermediary.hostname	Jika dvc bukan alamat IP, petakan ke nama host. Jika tidak, petakan ke IP.
iflowbytes	read_only_udm.network.sent_bytes	Pemetaan langsung.
iflowpkts	read_only_udm.network.sent_packets	Pemetaan langsung.
msg_id	read_only_udm.additional.fields.value.string_value	Pemetaan langsung. Kunci dikodekan secara permanen sebagai "msg_id".
policy_name	read_only_udm.additional.fields.value.string_value	Pemetaan langsung. Kunci dikodekan secara permanen sebagai "policy_name".
policy_name	read_only_udm.security_result.rule_type	Pemetaan langsung.
proc_id	read_only_udm.target.process.pid	Pemetaan langsung.
proc_name	read_only_udm.target.application	Pemetaan langsung.
protocol_number_src	read_only_udm.network.ip_protocol	Memetakan nomor protokol numerik ke nama yang sesuai (misalnya, 6 ke TCP, 17 ke UDP).
rflowbytes	read_only_udm.network.received_bytes	Pemetaan langsung.
rflowpkts	read_only_udm.network.received_packets	Pemetaan langsung.
rule_id	read_only_udm.security_result.rule_id	Pemetaan langsung.
rule_name	read_only_udm.security_result.rule_name	Pemetaan langsung.
sd	read_only_udm.additional.fields.value.string_value	Pemetaan langsung. Kunci di-hardcode sebagai "sd".
security_policy_id	read_only_udm.additional.fields.value.string_value	Pemetaan langsung. Kunci dikodekan secara permanen sebagai "security_policy_id".
session_id	read_only_udm.network.session_id	Pemetaan langsung.
session_state	read_only_udm.metadata.product_event_type	Pemetaan langsung.
sip	read_only_udm.principal.ip	Pemetaan langsung.
software_version	read_only_udm.principal.asset.software.version	Pemetaan langsung.
olahraga	read_only_udm.principal.port	Pemetaan langsung.
ts	read_only_udm.metadata.event_timestamp	Stempel waktu dari log diuraikan dan diformat ke dalam format stempel waktu UDM.
VLAN	read_only_udm.additional.fields.value.string_value	Pemetaan langsung. Kunci di-hardcode sebagai "vlan".
	read_only_udm.metadata.event_type	Jika sip dan dip ada, ditetapkan ke "NETWORK_UNCATEGORIZED". Jika hanya sip yang ada, ditetapkan ke "STATUS_UPDATE". Jika tidak, ditetapkan ke "GENERIC_EVENT".
	read_only_udm.metadata.log_type	Dikodekan secara permanen ke "AMD_DSS_FIREWALL".
	read_only_udm.metadata.product_name	Dikodekan secara permanen ke "AMD_DSS_FIREWALL".
	read_only_udm.metadata.vendor_name	Dikodekan secara permanen ke "AMD_DSS_FIREWALL".
	read_only_udm.principal.resource.resource_type	Dikodekan secara permanen ke "VPC_NETWORK".

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.